このページは Cloud Translation API によって翻訳されました。

Commvault のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Commvault ログを Google Security Operations に取り込む方法について説明します。パーサーは COMMVAULT ログからデータを抽出し、アラート、イベント、監査証跡として分類します。次に、キーと値の解析、タイムスタンプの抽出、フィールドマッピングを使用して、抽出されたフィールドを正規化し、統合データモデル（UDM）に構造化します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
Commvault Cloud への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'COMMVAULT'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Commvault Cloud で Syslog を構成する

Commvault 管理コンソールにログインします。
[Manage>System] に移動します。
[SIEM] コネクタタイルをクリックします。
[コネクタを追加] をクリックします。
[全般] タブで、次の詳細を入力します。
- コネクタ名: コネクタの名前を入力します。
- コネクタのタイプ: [Syslog] を選択します。
- ストリーミングデータ: エクスポートするデータを選択します。
[次へ] をクリックします。
[コネクタ定義] タブで、[syslog サーバーを追加] をクリックします。
次の構成の詳細を指定します。
- Syslog サーバー: Bindplane エージェントの IP アドレスを入力します。
- ポート番号: Bindplane エージェントのポート番号を入力します。
[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
AgentType	event.idm.read_only_udm.observer.application	ログメッセージの `AgentType` フィールドから取得された値。
Alertid	event.idm.read_only_udm.security_result.detection_fields.value	ログメッセージの `Alertid` フィールドから取得された値。このフィールドは `alert_id` キーにマッピングされます。
Alertname	event.idm.read_only_udm.security_result.detection_fields.value	ログメッセージの `Alertname` フィールドから取得された値。このフィールドは `alert_name` キーにマッピングされます。
Alertseverity	event.idm.read_only_udm.security_result.severity	このフィールドは、その値に基づいて `security_result.severity` フィールドに入力するために使用されます。
Alerttime	event.idm.read_only_udm.metadata.event_timestamp	ログメッセージの `Alerttime` フィールドから取得され、タイムスタンプに変換された値。
BackupLevel	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `BackupLevel` フィールドから取得された値。このフィールドは `backup_level` キーにマッピングされます。
BackupSet	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `BackupSet` フィールドから取得された値。このフィールドは `backup_set` キーにマッピングされます。
クライアント	event.idm.read_only_udm.principal.hostname	ログメッセージの `Client` フィールドから取得された値。
CommCell	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `CommCell` フィールドから取得された値。このフィールドは `comcell_field` キーにマッピングされます。
パソコン	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `Computer` フィールドから取得された値。このフィールドは `computer_field` キーにマッピングされます。
説明	event.idm.read_only_udm.metadata.description	処理とクリーンアップの後に、ログメッセージの `Description` フィールドから取得された値。
DetectedCriteria	event.idm.read_only_udm.security_result.detection_fields.value	ログメッセージの `DetectedCriteria` フィールドから取得された値。このフィールドは `detected_criteria` キーにマッピングされます。
DetectedTime	event.idm.read_only_udm.security_result.detection_fields.value	ログメッセージの `DetectedTime` フィールドから取得された値。このフィールドは `detected_time` キーにマッピングされます。
詳細	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `Details` フィールドから取得された値。このフィールドは `details_field` キーにマッピングされます。
Eventid	event.idm.read_only_udm.metadata.product_log_id	ログメッセージの `Eventid` フィールドから取得された値。
Eventseverity	event.idm.read_only_udm.security_result.severity	このフィールドは、その値に基づいて `security_result.severity` フィールドに入力するために使用されます。
失敗	event.idm.read_only_udm.security_result.detection_fields.value	ログメッセージの `Failure` フィールドから取得された値。このフィールドは `failure_filed` キーにマッピングされます。
インスタンス	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `Instance` フィールドから取得された値。このフィールドは `instance_field` キーにマッピングされます。
Jobid	event.idm.read_only_udm.principal.process.pid	ログメッセージの `Jobid` フィールドから取得された値。
MonitoringCriteria	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `MonitoringCriteria` フィールドから取得された値。このフィールドは `monitoring_criteria` キーにマッピングされます。
Occurencetime	event.idm.read_only_udm.metadata.event_timestamp	ログメッセージの `Occurencetime` フィールドから取得され、タイムスタンプに変換された値。
Opid	event.idm.read_only_udm.security_result.detection_fields.value	ログメッセージの `Opid` フィールドから取得された値。このフィールドは `op_id` キーにマッピングされます。
プログラム	event.idm.read_only_udm.principal.application	ログメッセージの `Program` フィールドから取得された値。
Severitylevel	event.idm.read_only_udm.security_result.severity	ログメッセージの `Severitylevel` フィールドから取得された値。事前定義されたマッピングに基づいてマッピングされます。
StoragePoliciesUsed	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `StoragePoliciesUsed` フィールドから取得された値。このフィールドは `storage_policies_used` キーにマッピングされます。
Subclient	event.idm.read_only_udm.additional.fields.value.string_value	ログメッセージの `Subclient` フィールドから取得された値。このフィールドは `subclient_field` キーにマッピングされます。
タイプ	event.idm.read_only_udm.security_result.detection_fields.value	ログメッセージの `Type` フィールドから取得された値。このフィールドは `alert_type` キーにマッピングされます。
ユーザー名	event.idm.read_only_udm.principal.user.userid	ログメッセージの `Username` フィールドから取得された値。
anomaly_type	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `detected_anomaly_type` キーにマッピングされます。
エラー	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `errors_field` キーにマッピングされます。
file_name	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `detected_malicious_file` キーにマッピングされます。
media_agent	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `detected_media_agent` キーにマッピングされます。
no_of_files_created	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `no_of_files_created_field` キーにマッピングされます。
no_of_files_deleted	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `no_of_files_deleted_field` キーにマッピングされます。
no_of_files_modified	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `no_of_files_modified_field` キーにマッピングされます。
no_of_files_renamed	event.idm.read_only_udm.security_result.detection_fields.value	Grok パターンを使用して `Description` フィールドから抽出された値。このフィールドは `no_of_files_renamed_field` キーにマッピングされます。
URL	event.idm.read_only_udm.network.http.referral_url	Grok パターンを使用して `Description` フィールドから抽出された値。
	event.idm.read_only_udm.metadata.event_type	`Client` フィールドが存在する場合は `STATUS_UPDATE` に設定され、存在しない場合は `GENERIC_EVENT` に設定されます。
	event.idm.read_only_udm.metadata.product_name	このフィールドは `COMMVAULT` に設定されています。
	event.idm.read_only_udm.metadata.vendor_name	このフィールドは `COMMVAULT` に設定されています。
	event.idm.read_only_udm.principal.user.user_role	`User` フィールドが `Administrator` の場合、このフィールドは `ADMINISTRATOR` に設定されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。